Firefox将在版本127中升级更多混合内容

Frederik Braun, Malte Jürgens, Simon Friedberger and Christoph Kerschbaumer
2024年6月5日

大多数网站已经支持HTTPS：事实上，Firefox发出的请求中有93%已经是HTTPS。提醒一下，基于TLS的HTTP（HTTPS）通过创建安全加密的连接来修复HTTP的安全缺陷。通常，当Web应用程序在其服务器上启用HTTPS加密时，遗留内容可能仍然包含使用HTTP的引用，即使这些内容也可以通过安全加密的连接获得。当这样的文档通过HTTPS加载，但子资源（如图像、音频和视频）使用HTTP加载时，这被称为“混合内容”。

从版本127开始，Firefox将自动将音频、视频和图像子资源从HTTP升级到HTTPS。

背景

很久以前引入“混合内容”概念时，浏览器曾经对主动和被动混合内容做出相当严格的区分：通过HTTP加载脚本或iframe可能对整个文档的安全性非常不利，并且早已被阻止为“主动混合内容”。图像和其他资源则被称为“被动”或“显示”混合内容。如果网络攻击者可以修改它们，他们不会获得对文档的完全控制。因此，为了支持大多数现有内容，被动内容被允许不安全地加载，尽管地址栏中会有警告。

之前的行为，没有升级：降级的锁图标，右下角带有警告标志。

随着Web平台支持许多新的令人兴奋的内容形式（例如，响应式图像），这一概念变得有些模糊：响应式图像在恶意响应式图像可以接管整个网页的意义上不是主动的。然而，出于对更安全Web的推动，自2018年以来，我们要求新功能仅在使用HTTPS时可用。

可升级和可阻止的混合内容

鉴于主动和被动混合内容之间的模糊界限，混合内容标准的最新修订区分了可阻止和可升级的内容，其中脚本、iframe、响应式图像和几乎所有其他功能都被视为可阻止的。以前称为被动内容类型（<img>、<audio>和<video>元素）现在由浏览器升级为使用HTTPS，如果它们无法通过HTTPS获得，则不会被加载。

这也引入了我们安全指示器的行为变化：Firefox将不再使用锁图标右下角的小警告标志：

更改后。一个完全安全的锁图标。图像加载已成功升级或失败（例如，连接重置）。

使用Firefox 127，所有混合内容将被阻止或升级。确保通过HTTPS传输的文档保持完全安全和加密。

企业用户

不希望Firefox执行升级的企业用户可以通过更改现有首选项来选择以下选项：

• 将security.mixed_content.upgrade_display_content设置为false，这样Firefox将继续不安全地显示混合内容（包括第一张图片中的降级锁图标）。
• 将security.mixed_content.block_display_content设置为true，这样Firefox将阻止所有混合内容（包括可升级的）。

更改这些首选项的原因可能包括不支持安全HTTPS体验的遗留基础设施。我们想指出，这些选项都不推荐，因为使用这些选项，Firefox将偏离可互操作的Web平台。此外，这些首选项不会像我们内置设置页面中可用的选项那样获得支持、审查和质量保证。

展望

我们将继续我们的使命，即隐私和安全不是可选的，为Web带来更多HTTPS：接下来，我们将默认所有地址栏中的地址优先使用HTTPS，如果网站无法安全加载，则回退到HTTP。此功能已在Firefox Nightly中可用。

我们还在开发另一个迭代，通过称为“HTTPS-First”的回退升级更多页面加载，该功能应该很快在Firefox Nightly中提供。最后，对不希望任何流量通过HTTP暴露在网络上的安全意识较高的用户已经可以使用我们严格的仅HTTPS模式，该模式可通过Firefox设置获得。它要求所有资源加载都必须通过HTTPS进行，否则将被阻止。